漏洞描述 JNPF快速开发平台存在文件读取漏洞,攻击者可通过向/api/file/Image/userAvatar/aa发送GET请求,构造以逗号分隔的路径遍历字符(,..,..,..)和敏感文件路径(如etc,passwd),绕过文件访问限制读取服务器上的敏感文件,无需授权即可获取敏感信息。